如何配置 Dell Encryption Enterprise 以使用 Windows Hello 进行身份验证
概要: 可以按照以下说明配置 Windows Hello 以与 Dell Encryption Enterprise 配合使用。
この記事は次に適用されます:
この記事は次には適用されません:
手順
本文概述如何配置 Azure 和 Dell Security Management Server 或 Dell Security Management Server Virtual 以支持 Windows Hello 身份验证。此配置可与 Dell Encryption Enterprise 配合使用。
受影响的产品:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Encryption Enterprise
受影响的版本:
- v11.0 及更高版本
受影响的操作系统:
- Windows
- Linux
从 Dell Encryption Enterprise 11.0 版开始,基于策略的加密客户端现在可以使用基于 Windows Hello 的凭据激活。这包括 Windows Hello PIN、Windows Hello 面部识别、Windows Hello 指纹以及其他几种基于令牌的身份验证方法的机制。
可以通过两个步骤配置身份验证:
- 在 Azure Active Directory 中生成应用程序注册。这要求同步本地 Active Directory 环境。有关详细信息,请参阅 将本地 AD 域与 Azure AD 集成 (https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/azure-ad
)
- 配置 Dell Security Management Server。
单击相应的配置以查看详细信息。
此配置过程允许 Dell Security Management Server 或 Dell Management Security Server Virtual 验证 Windows Hello 令牌。
注意:此过程需要具有应用程序管理员(或更高)权限的用户帐户。
要配置 Azure Active Directory,请执行以下操作:
- 在左侧窗格中选择 App Registrations,然后在右侧窗格中单击 New Registration。
- 填写应用的名称。
提醒:
- 示例图像中的应用程序已命名为 DellEncryption-WindowsHello。您环境中分配的字母可能与此不同。
- 应用程序名称不能与其他应用程序注册相同。
- 为您的环境选择适当的帐户类型。
提醒:大多数环境将仅针对当前配置的组织目录进行身份验证。
- 将重定向 URI 平台设置为 Public client/native (mobile & desktop)。重定向 URI 可以是任何前缀为 https:// 的地址。
提醒:
- 此值稍后将在 Dell Security Management Server 的“Redirect URI”设置中使用。
- 使用 Dell Encryption Enterprise 进行无密码身份验证时,需要此重定向 URI。
- 单击 Register。
- 在应用程序注册概览中,记下 Application (client) ID 和 Directory (tenant) ID 的值。
提醒:配置 Dell Security Management Server 时,将用到此步骤中记录的值。
- 在左侧窗格中选择“API permissions”,然后单击右侧窗格中的 Add a permission。
- 在右侧显示的窗格中,在“Microsoft APIs”下选择 Microsoft Graph。
- 单击 Delegated permissions。
- 选择
offline_access、openid和profile,然后单击 添加权限 。
- 选择 Grant admin consent for [ORGANIZATION]。
注意:只有具有应用程序管理员(或更高)权限的用户才可以授予管理员同意。
提醒:[ORGANIZATION] = 环境的组织名称
- 单击 Yes。
提醒:
- 权限更改在组织范围内生效。
- 被授予后,权限的状态列中会显示绿色复选标记。
在 Azure Active Directory 中配置的应用程序注册用于在 Dell Security Management Server 中配置无密码身份验证。
注意:此过程需要具有安全管理员或系统管理员权限的用户帐户。
要配置 Dell Security Management Server,请执行以下操作:
- 登录到 Dell Data Security 管理控制台。
提醒:有关更多信息,请参阅如何访问 Dell Data Security/Dell Data Protection 服务器管理控制台。
- 在左侧菜单窗格中,依次单击 Populations 和 Domains。
- 选择您的域。
提醒:您环境中的域名将与此不同。
- 单击 Settings。
- 在域详细信息设置中:
- 选择 Password less Authentication。
- 选择 Azure AD。
- 在 Authority 中填充 https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/。此字段在示例图像中用红色突出显示。
- 在 Client ID 中填充已配置的 Azure Active Directory 环境中的应用程序(客户端)ID,使用 GUID 格式。此字段在示例图像中用橙色突出显示。
- 在 Redirect Uri 中填充已创建的 URL。此字段在示例图像中用绿色突出显示。
- 在 Server Resource Id 中填充用于处理身份验证令牌的站点。这与 Authority 和 Client ID 配对,以确保在注册过程中使用正确的方法。
- 填充已配置的域管理员的用户名和密码。
- 单击 Update Domain。
提醒:
- [DIRECTORYTENANTID] = Azure Active Directory 配置信息中的目录(租户)ID(步骤 8)
- Authority 字段使用 URI 开始通信,以便在用户的激活期间尝试解析令牌。“Authority”是我们必须连接到的主要服务器 (URL)。这包含我们请求针对该服务进行验证的用户的验证机制。
- Client ID 应填充 Azure Active Directory 配置信息中的应用程序(客户端)ID(步骤 8)。
- ClientID 字段指示我们与我们定义的租户上的特定应用程序进行通信。
- Redirect Uri 应填充 Azure Active Directory 配置信息中创建的 URL(步骤 6)。
- 这是我们托管的特定资源,显示发生登录错误时我们希望如何重新登录应用程序。
- 使用 Azure Active Directory 时,Server Resource Id 应填充 https://graph.microsoft.com/。
- 这是目标机构的主要点,在目标机构中,本机应用程序会与我们通信以获取有关用户的信息。对于 Azure,该位置将位于 Azure 后端,以确保我们与 Azure 身份验证机制进行交互。
现在可以在受支持的 Dell Encryption Enterprise 版本上使用 Windows Hello 凭据对运行 Dell Encryption Enterprise 基于策略的加密的端点进行身份验证。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。